VERSIONE ITALIANA DEL REGOLAMENTO PRIVACY UE

È finalmente stata pubblicata la versione italiana del futuro Regolamento UE sulla Protezione dei Dati (GDPR) | è la versione approvata il 15 dicembre 2015.

Prima della pubblicazione sulla Gazzetta Ufficiale europea, che avverrà in primavera, saranno introdotte alcune piccole variazioni “tecniche” e di traduzione.

CLICCA QUI PER LEGGERE LA TRADUZIONE DEL FUTURO REGOLAMENTO UE

Regolamento Privacy UE

 

Annunci

2° CONGRESSO ANNUALE ASSO DPO 2016

Dopo il successo della prima edizione del Congresso Annuale di ASSO DPO, l’Associazione Data Protection Officer si presenta con un nuovo evento che conferma la propria posizione all’interno del panorama Internazionale in materia di Privacy e Data Protection Officer.

Il programma quest’anno prevede due giornate:

  • 18/04   Pre-Congresso con Tavola Rotonda 
  • 19/04   Congresso Annuale

Nel pomeriggio del 18 aprile 2016 presso il Museo di Storia Naturale di Milano organizzeremo una Tavola Rotonda con le principali Associazioni Privacy Europee e alcuni DPO italiani per discutere del Ruolo del Data Protection Officer in Europa.

Il 19 aprile 2016 dalle ore 9.00 alle 17.00, la prestigiosa sede di Palazzo Mezzanotte a Milano – London Stock Exchange Group accoglierà invece il Congresso Internazionale.

Nel centro nevralgico della città si confronteranno come relatori i più importanti Referenti Privacy/DPO di Multinazionali e Autorità Garanti. Un panel di interlocutori a livello Europeo che riconferma l’importanza e l’impatto del nuovo Regolamento Privacy UE.

Visti i posti limitati, soprattutto per il pre-congresso con solo 120 posti disponibili, per premiare i nostri associati sino al 01 febbraio 2016 le iscrizioni saranno concesse in prelazione solo ai soci ASSO DPO.

CLICCARE QUI PER ISCRIVERSI

Quindi vi invito ad iscriverVi entro tale data al fine di evitare di perdere la possibilità di partecipare a questo evento fondamentale e imperdibile per tutti i professionisti della Privacy.

SERVIZIO DI TRADUZIONE SIMULTANEA ITALIANO/INGLESE E INGLESE/ITALIANO
Per maggiori informazioni: www.congressoassodpo.it

Matteo Colombo
Presidente di ASSO DPO

2nd ANNUAL CONGRESS ASSO DPO 2016

After the successful first edition of the ASSO DPO Congress, the Italian Association of Data Protection Officer ASSO DPO is deligthed to announce the next  ASSO DPO Annual Congress which confirms our position  in the international field of Privacy and Data Protection.

This year the Program is divided in two days:

  • 18/04 Pre-Congress Workshop with the Round Table
  • 19/04 Main Annual Congress

On 18th April 2016 afternoon at Natural History Museum we are going to organize a Round Table with the main European Privacy Associations to discuss the Role of the Data Protection Officer in Europe.

On 19th April 2016 from 09:00 a.m. to 17:00 p.m, Palazzo Mezzanotte – the Italian Stock Exchange Headquarter (London Stock Exchange Group – http://www.lseg.com/it/palazzo-en) will be the location of our International Congress.

In the heart of the city, European Data Protection Authorities, Italian and European DPOs will discuss and share their insights on Data Protection. A panel of Speakers at european level will confirm the importance and the impact of the new Regulation in Privacy field.

SIMULTANEOUS TRANSLATION SERVICE ITALIAN / ENGLISH AND ENGLISH / ITALIAN
For more information: www.congressoassodpo.it

Matteo Colombo
ASSO DPO PRESIDENT

Dossier Sanitario: STOP agli accessi indiscriminati ai dati dei pazienti

IL CASO

Il Garante Privacy, all’esito di accertamenti ispettivi nei confronti dell’Azienda Usl 11 di Empoli, ha dettato una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.  Le irregolarità emerse nel corso di accertamenti ispettivi riguardavano, in particolare:

  • l’informativa: carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier;
  • il consenso: costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda;
  • gli accessi indiscriminati al sistema informatico: ogni medico della struttura poteva consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

LA DECISIONE

Con Provvedimento doc. web n. 4449114 il Garante Privacy ha prescritto all’Azienda entro il 31 marzo 2016 di:

  • adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti. Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica). Il personale amministrativo potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni;
  • modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

Fonte: http://www.garanteprivacy.it/

Autore: Matteo Colombo

Illecito il reindirizzamento automatico dei messaggi di posta elettronica del dipendente dopo la cessazione / sospensione del rapporto di lavoro

ILLECITO IL REINDIRIZZAMENTO AUTOMATICO DEI MESSAGGI DI POSTA ELETTRONICA DEL DIPENDENTE DOPO LA CESSAZIONE / SOSPENSIONE DEL RAPPORTO DI LAVORO SU INDIRIZZI DI POSTA ELETTRONICA AZIENDALE DI ALTRI DIPENDENTI.

NECESSARIA L’ADOZIONE DI UN REGOLAMENTO SULL’USO DEGLI STRUMENTI INFORMATICI AZIENDALI

Garante Privacy – Provvedimento n. 456 del 30 luglio 2015

IL CASO

Degli ex dipendenti hanno presentato ricorso al Garante Privacy lamentando che, dopo la cessazione del rapporto di lavoro con la società, gli account di posta elettronica loro assegnati venivano automaticamente reindirizzati a dei dipendenti dell’azienda utente dell’azienda. Inoltre, i ricorrenti hanno lamentato di aver appreso solo in occasione della produzione in un giudizio civile di un significativo numero di e-mail da parte della società, che quest’ultima aveva avuto accesso ai messaggi di posta elettronica dei lavoratori.

LA DECISIONE

Il Garante ha affermato il principio per cui dopo la cessazione del rapporto di lavoro, gli account di posta elettronica riconducibili a persone identificate o identificabili devono essere rimossi tramite disattivazione e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento (e non eventuali account privati riferiti agli ex dipendenti).

Non è conforme alla normativa privacy il reindirizzamento automatico dei messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato (o in ipotesi di non meglio precisata “sospensione” del rapporto stesso) su indirizzi di posta elettronica aziendale attribuiti ad altri dipendenti.

In merito all’accesso alle caselle di posta elettronica dei dipendenti da parte del datore di lavoro, il Garante ha, inoltre, ribadito che il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.

L’assenza di un Regolamento / Policy scritta al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.

L’informativa ai dipendenti deve riguardare anche le modalità (compresi i tempi) di conservazione dei contenuti e dei file di log relativi alla posta elettronica in transito sugli account aziendali nonché le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio.

Fonte: http://garanteprivacy.it

Autore: Matteo Colombo